Neskatoties uz visÄm Palo Alto Networks ugunsmÅ«ru priekÅ”rocÄ«bÄm, RuNet nav daudz materiÄlu par Å”o ierÄ«Äu iestatÄ«Å”anu, kÄ arÄ« tekstu, kas apraksta to ievieÅ”anas pieredzi. MÄs nolÄmÄm apkopot materiÄlus, kurus esam uzkrÄjuÅ”i, strÄdÄjot ar Ŕī pÄrdevÄja aprÄ«kojumu, un pastÄstÄ«t par iespÄjÄm, ar kurÄm saskÄrÄmies dažÄdu projektu Ä«stenoÅ”anas laikÄ.
Lai iepazÄ«stinÄtu jÅ«s ar Palo Alto Networks, Å”ajÄ rakstÄ tiks apskatÄ«ta konfigurÄcija, kas nepiecieÅ”ama, lai atrisinÄtu vienu no visizplatÄ«tÄkajÄm ugunsmÅ«ra problÄmÄm - SSL VPN attÄlajai piekļuvei. MÄs arÄ« runÄsim par utilÄ«tu funkcijÄm vispÄrÄ«gai ugunsmÅ«ra konfigurÄcijai, lietotÄja identifikÄcijai, lietojumprogrammÄm un droŔības politikÄm. Ja tÄma interesÄs lasÄ«tÄjus, turpmÄk mÄs izlaidÄ«sim materiÄlus, kas analizÄs vietÅu VPN, dinamisko marÅ”rutÄÅ”anu un centralizÄto pÄrvaldÄ«bu, izmantojot Panorama.
Palo Alto Networks ugunsmÅ«ri izmanto vairÄkas novatoriskas tehnoloÄ£ijas, tostarp App-ID, User-ID, Content-ID. Å Ä«s funkcionalitÄtes izmantoÅ”ana ļauj nodroÅ”inÄt augstu droŔības lÄ«meni. PiemÄram, ar App-ID ir iespÄjams identificÄt lietojumprogrammu trafiku, pamatojoties uz parakstiem, dekodÄÅ”anu un heiristiku, neatkarÄ«gi no porta un izmantotÄ protokola, tostarp SSL tunelÄ«. User-ID ļauj identificÄt tÄ«kla lietotÄjus, izmantojot LDAP integrÄciju. Content-ID ļauj skenÄt trafiku un identificÄt pÄrsÅ«tÄ«tos failus un to saturu. Citas ugunsmÅ«ra funkcijas ietver aizsardzÄ«bu pret ielauÅ”anos, aizsardzÄ«bu pret ievainojamÄ«bÄm un DoS uzbrukumiem, iebÅ«vÄtu pretspiegprogrammatÅ«ru, URL filtrÄÅ”anu, klasterizÄciju un centralizÄtu pÄrvaldÄ«bu.
DemonstrÄcijai izmantosim izolÄtu stendu, kura konfigurÄcija ir identiska reÄlajam, izÅemot ierÄ«Äu nosaukumus, AD domÄna nosaukumu un IP adreses. ReÄli viss ir sarežģītÄk ā zaru var bÅ«t daudz. Å ajÄ gadÄ«jumÄ viena ugunsmÅ«ra vietÄ uz centrÄlo vietÅu robežÄm tiks uzstÄdÄ«ts klasteris, un var bÅ«t nepiecieÅ”ama arÄ« dinamiska marÅ”rutÄÅ”ana.
Lietots uz statÄ«va PAN-OS 7.1.9. KÄ tipisku konfigurÄciju apsveriet tÄ«klu ar Palo Alto Networks ugunsmÅ«ri malÄ. UgunsmÅ«ris nodroÅ”ina attÄlo SSL VPN piekļuvi galvenajam birojam. Active Directory domÄns tiks izmantots kÄ lietotÄju datu bÄze (1. attÄls).
1. attÄls ā tÄ«kla blokshÄma
IestatīŔanas darbības:
- IerÄ«ces iepriekÅ”Äja konfigurÄcija. Nosaukuma, pÄrvaldÄ«bas IP adreses, statisko marÅ”rutu, administratora kontu, pÄrvaldÄ«bas profilu iestatÄ«Å”ana
- LicenÄu instalÄÅ”ana, atjauninÄjumu konfigurÄÅ”ana un instalÄÅ”ana
- DroŔības zonu konfigurÄÅ”ana, tÄ«kla saskarnes, satiksmes politikas, adreÅ”u tulkoÅ”ana
- LDAP autentifikÄcijas profila un lietotÄja identifikÄcijas lÄ«dzekļa konfigurÄÅ”ana
- SSL VPN iestatīŔana
1. IepriekŔ iestatīts
Galvenais Palo Alto Networks ugunsmÅ«ra konfigurÄÅ”anas rÄ«ks ir tÄ«mekļa saskarne; ir iespÄjama arÄ« pÄrvaldÄ«ba, izmantojot CLI. PÄc noklusÄjuma pÄrvaldÄ«bas saskarne ir iestatÄ«ta uz IP adresi 192.168.1.1/24, pieteikÅ”anÄs: admin, parole: admin.
Adresi var mainÄ«t, izveidojot savienojumu ar tÄ«mekļa saskarni no tÄ paÅ”a tÄ«kla vai izmantojot komandu iestatiet deviceconfig sistÄmas ip-adresi <> tÄ«kla masku <>. Tas tiek veikts konfigurÄcijas režīmÄ. Lai pÄrslÄgtos uz konfigurÄcijas režīmu, izmantojiet komandu konfigurÄt. Visas izmaiÅas ugunsmÅ«rÄ« notiek tikai pÄc tam, kad iestatÄ«jumi ir apstiprinÄti ar komandu izdarÄ«t, gan komandrindas režīmÄ, gan tÄ«mekļa saskarnÄ.
Lai mainÄ«tu iestatÄ«jumus tÄ«mekļa saskarnÄ, izmantojiet sadaļu IerÄ«ce -> VispÄrÄ«gie iestatÄ«jumi un IerÄ«ce -> PÄrvaldÄ«bas interfeisa iestatÄ«jumi. Nosaukumu, banerus, laika joslu un citus iestatÄ«jumus var iestatÄ«t sadaÄ¼Ä VispÄrÄjie iestatÄ«jumi (2. att.).
2. attÄls. PÄrvaldÄ«bas saskarnes parametri
Ja ESXi vidÄ izmantojat virtuÄlo ugunsmÅ«ri, sadaÄ¼Ä VispÄrÄ«gie iestatÄ«jumi ir jÄiespÄjo hipervizora pieŔķirtÄs MAC adreses izmantoÅ”ana vai jÄkonfigurÄ hipervizora ugunsmÅ«ra saskarnÄs norÄdÄ«tÄs MAC adreses, vai jÄmaina virtuÄlie slÄdži, lai ļautu MAC mainÄ«t adreses. PretÄjÄ gadÄ«jumÄ satiksme netiks cauri.
PÄrvaldÄ«bas saskarne ir konfigurÄta atseviŔķi un netiek parÄdÄ«ta tÄ«kla saskarÅu sarakstÄ. NodaÄ¼Ä PÄrvaldÄ«bas interfeisa iestatÄ«jumi norÄda pÄrvaldÄ«bas saskarnes noklusÄjuma vÄrteju. Citi statiskie marÅ”ruti ir konfigurÄti virtuÄlo marÅ”rutÄtÄju sadaļÄ; tas tiks apspriests vÄlÄk.
Lai ļautu piekļūt ierÄ«cei, izmantojot citas saskarnes, ir jÄizveido pÄrvaldÄ«bas profils PÄrvaldÄ«bas profils daļa TÄ«kls -> TÄ«kla profili -> Interfeisa Mgmt un pieŔķiriet to atbilstoÅ”ajam interfeisam.
TÄlÄk sadaÄ¼Ä ir jÄkonfigurÄ DNS un NTP IerÄ«ce -> Pakalpojumi lai saÅemtu atjauninÄjumus un pareizi parÄdÄ«tu laiku (3. att.). PÄc noklusÄjuma visa ugunsmÅ«ra Ä£enerÄtÄ trafika kÄ avota IP adrese izmanto pÄrvaldÄ«bas interfeisa IP adresi. Katram konkrÄtajam pakalpojumam sadaÄ¼Ä varat pieŔķirt citu saskarni Pakalpojuma marÅ”ruta konfigurÄcija.
3. attÄls ā DNS, NTP un sistÄmas marÅ”rutu pakalpojumu parametri
2. LicenÄu instalÄÅ”ana, atjauninÄjumu iestatÄ«Å”ana un instalÄÅ”ana
Lai pilnÄ«bÄ darbotos visas ugunsmÅ«ra funkcijas, ir jÄinstalÄ licence. Varat izmantot izmÄÄ£inÄjuma licenci, pieprasot to Palo Alto Networks partneriem. TÄs derÄ«guma termiÅÅ” ir 30 dienas. Licence tiek aktivizÄta, izmantojot failu vai izmantojot Auth-Code. Licences ir konfigurÄtas sadaÄ¼Ä IerÄ«ce -> Licences (Att. 4).
PÄc licences instalÄÅ”anas sadaÄ¼Ä jÄkonfigurÄ atjauninÄjumu instalÄÅ”ana IerÄ«ce -> Dinamiskie atjauninÄjumi.
IedaÄ¼Ä IerÄ«ce -> ProgrammatÅ«ra varat lejupielÄdÄt un instalÄt jaunas PAN-OS versijas.
4. attÄls ā Licences vadÄ«bas panelis
3. DroŔības zonu konfigurÄÅ”ana, tÄ«kla saskarnes, satiksmes politikas, adreÅ”u tulkoÅ”ana
KonfigurÄjot tÄ«kla noteikumus, Palo Alto Networks ugunsmÅ«ri izmanto zonas loÄ£iku. TÄ«kla saskarnes tiek pieŔķirtas noteiktai zonai, un Ŕī zona tiek izmantota satiksmes noteikumos. Å Ä« pieeja ļauj nÄkotnÄ, mainot saskarnes iestatÄ«jumus, nemainÄ«t satiksmes noteikumus, bet gan pÄrdalÄ«t nepiecieÅ”amÄs saskarnes attiecÄ«gajÄm zonÄm. PÄc noklusÄjuma satiksme zonÄ ir atļauta, satiksme starp zonÄm ir aizliegta, par to atbild iepriekÅ” noteikti noteikumi intrazone-noklusÄjums Šø starpzonu-noklusÄjums.
5. attÄls ā DroŔības zonas
Å ajÄ piemÄrÄ zonai ir pieŔķirts interfeiss iekÅ”ÄjÄ tÄ«klÄ iekÅ”Äjs, un zonai tiek pieŔķirta saskarne, kas vÄrsta uz internetu ÄrÄjs. SSL VPN ir izveidots un zonai pieŔķirts tuneļa interfeiss VPN (Att. 5).
Palo Alto Networks ugunsmÅ«ra tÄ«kla saskarnes var darboties piecos dažÄdos režīmos:
- Pieskarieties ā izmanto, lai savÄktu trafiku uzraudzÄ«bas un analÄ«zes nolÅ«kos
- HA ā izmanto klasteru darbÄ«bai
- VirtuÄlais vads - Å”ajÄ režīmÄ Palo Alto Networks apvieno divas saskarnes un pÄrredzami pÄrraida trafiku starp tÄm, nemainot MAC un IP adreses
- SlÄnis2 - pÄrslÄgÅ”anas režīms
- SlÄnis3 - marÅ”rutÄtÄja režīms
6. attÄls. Interfeisa darbÄ«bas režīma iestatÄ«Å”ana
Å ajÄ piemÄrÄ tiks izmantots Layer3 režīms (6. att.). TÄ«kla saskarnes parametri norÄda IP adresi, darbÄ«bas režīmu un atbilstoÅ”o droŔības zonu. Papildus interfeisa darbÄ«bas režīmam tas ir jÄpieŔķir virtuÄlajam marÅ”rutÄtÄjam, kas ir Palo Alto Networks VRF instances analogs. VirtuÄlie marÅ”rutÄtÄji ir izolÄti viens no otra, un tiem ir savas marÅ”rutÄÅ”anas tabulas un tÄ«kla protokola iestatÄ«jumi.
VirtuÄlÄ marÅ”rutÄtÄja iestatÄ«jumi norÄda statiskus marÅ”rutus un marÅ”rutÄÅ”anas protokola iestatÄ«jumus. Å ajÄ piemÄrÄ ir izveidots tikai noklusÄjuma marÅ”ruts piekļuvei ÄrÄjiem tÄ«kliem (7. att.).
7. attÄls. VirtuÄlÄ marÅ”rutÄtÄja iestatÄ«Å”ana
NÄkamais konfigurÄcijas posms ir satiksmes politikas sadaļa Politikas -> DroŔība. KonfigurÄcijas piemÄrs ir parÄdÄ«ts 8. attÄlÄ. Noteikumu loÄ£ika ir tÄda pati kÄ visiem ugunsmÅ«riem. Noteikumi tiek pÄrbaudÄ«ti no augÅ”as uz leju, lÄ«dz pirmajam maÄam. ÄŖss noteikumu apraksts:
1. SSL VPN piekļuve tÄ«mekļa portÄlam. Ä»auj piekļūt tÄ«mekļa portÄlam, lai autentificÄtu attÄlos savienojumus
2. VPN trafika ā ļaujot satiksmi starp attÄliem savienojumiem un galveno biroju
3. Pamatinternets ā ļauj dns, ping, traceroute, ntp lietojumprogrammas. UgunsmÅ«ris ļauj lietot lietojumprogrammas, kuru pamatÄ ir paraksti, dekodÄÅ”ana un heiristika, nevis portu numuri un protokoli, tÄpÄc sadaÄ¼Ä Pakalpojums ir norÄdÄ«ts, ka lietojumprogramma ir noklusÄta. Å Ä«s lietojumprogrammas noklusÄjuma ports/protokols
4. Web Access ā piekļuve internetam, izmantojot HTTP un HTTPS protokolus, bez lietojumprogrammu kontroles
5,6. NoklusÄjuma noteikumi citai satiksmei.
8. attÄls. TÄ«kla noteikumu iestatÄ«Å”anas piemÄrs
Lai konfigurÄtu NAT, izmantojiet sadaļu Politikas -> NAT. NAT konfigurÄcijas piemÄrs ir parÄdÄ«ts 9. attÄlÄ.
9. attÄls. NAT konfigurÄcijas piemÄrs
Jebkurai datplÅ«smai no iekÅ”ÄjÄs uz ÄrÄjo, varat mainÄ«t avota adresi uz ugunsmÅ«ra ÄrÄjo IP adresi un izmantot dinamisko porta adresi (PAT).
4. LDAP autentifikÄcijas profila un lietotÄja identifikÄcijas funkcijas konfigurÄÅ”ana
Pirms lietotÄju savienoÅ”anas, izmantojot SSL-VPN, ir jÄkonfigurÄ autentifikÄcijas mehÄnisms. Å ajÄ piemÄrÄ Active Directory domÄna kontrollera autentifikÄcija tiks veikta, izmantojot Palo Alto Networks tÄ«mekļa saskarni.
10. attÄls ā LDAP profils
Lai autentifikÄcija darbotos, jums ir jÄkonfigurÄ LDAP profils Šø AutentifikÄcijas profils. SadaÄ¼Ä IerÄ«ce -> Servera profili -> LDAP (10. att.) jÄnorÄda grupÄs iekļautÄ domÄna kontrollera IP adrese un ports, LDAP tips un lietotÄja konts. Serveru operatori, Notikumu žurnÄla lasÄ«tÄji, IzkliedÄtie COM lietotÄji. PÄc tam sadaÄ¼Ä IerÄ«ce -> AutentifikÄcijas profils izveido autentifikÄcijas profilu (11. att.), atzÄ«mÄ iepriekÅ” izveidoto LDAP profils un cilnÄ Advanced mÄs norÄdÄm lietotÄju grupu (12. att.), kuriem ir atļauta attÄlinÄta piekļuve. Ir svarÄ«gi atzÄ«mÄt parametru savÄ profilÄ LietotÄja domÄns, pretÄjÄ gadÄ«jumÄ grupas autorizÄcija nedarbosies. LaukÄ jÄnorÄda NetBIOS domÄna nosaukums.
11. attÄls. AutentifikÄcijas profils
12. attÄls ā AD grupas izvÄle
NÄkamais posms ir iestatÄ«Å”ana IerÄ«ce -> LietotÄja identifikÄcija. Å eit jums jÄnorÄda domÄna kontrollera IP adrese, savienojuma akreditÄcijas dati un arÄ« jÄkonfigurÄ iestatÄ«jumi IespÄjot droŔības žurnÄlu, IespÄjot sesiju, IespÄjot zondÄÅ”anu (13. att.). NodaÄ¼Ä Grupas kartÄÅ”ana (14. att.) ir jÄatzÄ«mÄ parametri objektu identificÄÅ”anai LDAP un to grupu saraksts, kuras tiks izmantotas autorizÄcijai. TÄpat kÄ autentifikÄcijas profilÄ, arÄ« Å”eit ir jÄiestata lietotÄja domÄna parametrs.
13. attÄls. LietotÄja kartÄÅ”anas parametri
14. attÄls. Grupas kartÄÅ”anas parametri
PÄdÄjais solis Å”ajÄ fÄzÄ ir izveidot VPN zonu un saskarni Å”ai zonai. InterfeisÄ ir jÄiespÄjo opcija IespÄjot lietotÄja identifikÄciju (Att. 15).
15. attÄls ā VPN zonas iestatÄ«Å”ana
5. SSL VPN iestatīŔana
Pirms savienojuma izveides ar SSL VPN, attÄlajam lietotÄjam ir jÄdodas uz tÄ«mekļa portÄlu, jÄautentificÄjas un jÄlejupielÄdÄ Global Protect klients. PÄc tam Å”is klients pieprasÄ«s akreditÄcijas datus un izveidos savienojumu ar korporatÄ«vo tÄ«klu. TÄ«mekļa portÄls darbojas https režīmÄ un attiecÄ«gi tam ir jÄinstalÄ sertifikÄts. Ja iespÄjams, izmantojiet publisku sertifikÄtu. Tad lietotÄjs nesaÅems brÄ«dinÄjumu par sertifikÄta nederÄ«gumu vietnÄ. Ja nav iespÄjams izmantot publisko sertifikÄtu, tad jÄizsniedz savs, kas tiks izmantots mÄjas lapÄ https. Tas var bÅ«t paÅ”parakstÄ«ts vai izdots ar vietÄjÄs sertifikÄcijas iestÄdes starpniecÄ«bu. AttÄlÄ datora uzticamo saknes iestÄžu sarakstÄ jÄbÅ«t saknes vai paÅ”parakstÄ«tam sertifikÄtam, lai lietotÄjs, pieslÄdzoties tÄ«mekļa portÄlam, nesaÅemtu kļūdu. Å ajÄ piemÄrÄ tiks izmantots sertifikÄts, kas izdots, izmantojot Active Directory sertifikÄtu pakalpojumus.
Lai izsniegtu sertifikÄtu, sadaÄ¼Ä ir jÄizveido sertifikÄta pieprasÄ«jums IerÄ«ce -> SertifikÄtu pÄrvaldÄ«ba -> SertifikÄti -> Ä¢enerÄt. PieprasÄ«jumÄ norÄdÄm sertifikÄta nosaukumu un interneta portÄla IP adresi jeb FQDN (16. att.). PÄc pieprasÄ«juma Ä£enerÄÅ”anas lejupielÄdÄjiet .csr failu un kopÄjiet tÄ saturu sertifikÄta pieprasÄ«juma laukÄ AD CS Web Enrollment tÄ«mekļa veidlapÄ. AtkarÄ«bÄ no tÄ, kÄ ir konfigurÄta sertifikÄcijas iestÄde, sertifikÄta pieprasÄ«jums ir jÄapstiprina un izsniegtais sertifikÄts ir jÄlejupielÄdÄ Å”ÄdÄ formÄtÄ Base64 kodÄtais sertifikÄts. TurklÄt jums ir jÄlejupielÄdÄ sertifikÄcijas iestÄdes saknes sertifikÄts. PÄc tam abi sertifikÄti jÄimportÄ ugunsmÅ«rÄ«. ImportÄjot sertifikÄtu tÄ«mekļa portÄlam, ir jÄatlasa pieprasÄ«jums gaidÄ«Å”anas statusÄ un jÄnoklikŔķina uz ImportÄt. SertifikÄta nosaukumam jÄatbilst iepriekÅ” pieprasÄ«jumÄ norÄdÄ«tajam nosaukumam. Saknes sertifikÄta nosaukumu var norÄdÄ«t patvaļīgi. PÄc sertifikÄta importÄÅ”anas jums ir jÄizveido SSL/TLS pakalpojuma profils daļa IerÄ«ce -> SertifikÄtu pÄrvaldÄ«ba. ProfilÄ norÄdÄm iepriekÅ” importÄto sertifikÄtu.
16. attÄls. SertifikÄta pieprasÄ«jums
NÄkamais solis ir objektu iestatÄ«Å”ana GlobÄlÄs aizsardzÄ«bas vÄrteja Šø GlobÄlais aizsardzÄ«bas portÄls daļa TÄ«kls -> GlobÄlÄ aizsardzÄ«ba... IestatÄ«jumos GlobÄlÄs aizsardzÄ«bas vÄrteja norÄda ugunsmÅ«ra ÄrÄjo IP adresi, kÄ arÄ« iepriekÅ” izveidoto SSL profils, AutentifikÄcijas profils, tuneļa interfeiss un klienta IP iestatÄ«jumi. Ir jÄnorÄda IP adreÅ”u kopums, no kura adrese tiks pieŔķirta klientam, un Access Route - tie ir apakÅ”tÄ«kli, uz kuriem klientam bÅ«s marÅ”ruts. Ja uzdevums ir ietÄ«t visu lietotÄja trafiku caur ugunsmÅ«ri, tad jÄnorÄda apakÅ”tÄ«kls 0.0.0.0/0 (17. att.).
17. attÄls ā IP adreÅ”u un marÅ”rutu kopas konfigurÄÅ”ana
PÄc tam jums ir jÄkonfigurÄ GlobÄlais aizsardzÄ«bas portÄls. NorÄdiet ugunsmÅ«ra IP adresi, SSL profils Šø AutentifikÄcijas profils un ugunsmÅ«ru ÄrÄjo IP adreÅ”u saraksts, ar kurÄm klients izveidos savienojumu. Ja ir vairÄki ugunsmÅ«ri, katram var iestatÄ«t prioritÄti, pÄc kuras lietotÄji izvÄlÄsies ugunsmÅ«ri, ar kuru izveidot savienojumu.
IedaÄ¼Ä IerÄ«ce -> GlobalProtect Client jums ir jÄlejupielÄdÄ VPN klienta izplatÄ«Å”ana no Palo Alto Networks serveriem un jÄaktivizÄ. Lai izveidotu savienojumu, lietotÄjam jÄdodas uz portÄla tÄ«mekļa lapu, kur viÅam tiks lÅ«gts lejupielÄdÄt GlobalProtect klients. PÄc lejupielÄdes un instalÄÅ”anas varat ievadÄ«t savus akreditÄcijas datus un izveidot savienojumu ar korporatÄ«vo tÄ«klu, izmantojot SSL VPN.
SecinÄjums
Tas pabeidz Palo Alto Networks iestatÄ«Å”anas daļu. MÄs ceram, ka informÄcija bija noderÄ«ga un lasÄ«tÄjs ieguva izpratni par Palo Alto Networks izmantotajÄm tehnoloÄ£ijÄm. Ja jums ir jautÄjumi par iestatÄ«Å”anu un ieteikumi par turpmÄko rakstu tÄmÄm, rakstiet tos komentÄros, mÄs ar prieku atbildÄsim.
Avots: www.habr.com